云计算环境下数据中心的网络安全风险控制研究
来源:用户上传
作者:
摘要:本文分析了云计算环境下数据中心主要存在的网络安全风险,采用多种措施构建了云计算环境下基于等级保护2.0要求的数据中心网络安全保障体系,为云计算数据中心的网络安全防护能力建设提供了可以借鉴的方法。
關键词:云计算;数据中心;网络安全;等级保护2.0
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2019)11-0165-02
0 引言
云计算环境下数据中心提供云服务已经成为IT服务市场的主要模式,“棱镜门”事件爆发以来,各级党政部门对于云计算环境下数据中心安全提升到国家关键基础设施安全的高度,加强云计算数据中心的安全防护能力建设是当前急需解决的重要问题。云计算环境下数据中心信息安全等级保护三级网络安全保障系统建设涉及物理安全、网络安全、计算环境等多个方面,本文仅研究云计算环境下数据中心的网络安全风险控制问题。
1 云计算环境下数据中心面临主要网络安全风险
1.1 传输链路单一、保密措施缺失
数据中心传输系统的安全主要包括网络架构设计合理、信息传输安全和可信验证等方面。网络架构合理与否直接影响业务承载,数据中心通信设备要求具备一定的冗余,信息传输安全要求传输链路具备一定的冗余,传输网络设备支持可信验证能力。常见主要问题有网络带宽无法满足业务高峰时期数据交换需求;网络通信设备的处理能力无法应对高峰期的业务需求;安全区域、子网网段和VLAN划分不合理;网络通信传输未采用加密或者校验码技术保证完整性和保密性。
1.2 边界安全管控与防护缺失
网络边界安全管控与防护主要包括网络安全边界防护、访问控制、入侵防护及边界安全行为审计等。
网络边界检查是基本的网络安全边界防护措施,首先在网络上部署边界检查设备,对通过的网络流量或数据进行规则检查,包括无线网络的接入,因此不仅需要对外部非授权设备或用户非法链接内部网络的行为检查,还要检查内部非授权设备或用户非法违规链接外部网络的行为,以确保网络边界的完整性与安全性。
通过强化网络安全防护措施,可以主动阻断信息系统的攻击和网络层、业务层的安全防护,确保核心设备和数据免受攻击危害,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等。同时在网络安全区域边界建立审计机制,记录与审计分析进出网络边界的各种行为,协同主机审计、应用审计及网络审计,构建多层次的网络安全审计体系,确保网络边界安全管控与防护。
1.3 云计算环境安全保护缺失
云计算环境安全主要考虑终端主机层、应用层的安全需求,主要包括访问控制、身份鉴别、恶意代码防范、入侵防范、安全审计、数据完整性与保密性、备份与恢复、可信验证、个人信息保护等方面。
系统管理部门需要对系统登录分配不同权限的用户,主机操作系统登录、应用系统登录以及数据库登陆要进行身份验证,且用户名和口令具有一定复杂度并定期更换,要提供两种或两种以上的鉴别技术对用户身份进行鉴别,要考虑相应的失败处理机制,避免被网络窃听,造成对非授权资源的非法访问及越权操作等。
漏洞、病毒、蠕虫等恶意代码是云计算环境下最大的安全隐患。当前云计算环境的数据中心中,往往缺少入侵防御和病毒、恶意代码防范等能力,无法主动发现现存系统的漏洞,无法主动预防病毒、蠕虫等恶意代码,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏,严重影响正常业务开展。。因此,必须加强入侵防御、防病毒、防范恶意代码等安全措施,并保持特征库更新,提高网络抗病毒、防入侵和恶意代码攻击等防御能力。
2 云计算环境下数据中心网络安全防护措施
云计算数据中心云平台通过对底层服务器硬件及存储资源实现虚拟化聚合部署,配合云计算管理平台,实现云计算中基础架构即服务(IaaS),为PaaS,SaaS服务提供了良好的基础平台,且具有很高的自适应性和扩展空间。
云计算数据中心云平台网络设备采用双路冗余设计;2台核心交换机进行堆叠,即虚拟成一个逻辑的交换机,为active-active,采用4路10Gb SFP+线路来堆叠互联;每台服务器双上联至接入交换机并捆绑两网卡为bond并启用LACP。按照信息安全等级保护第三级要求,云平台采用双路防火墙形成边界安全冗余备份,同时部署入侵防御系统,对外部网络入侵行为进行防御、检测;部署VPN设备,为内外网工作人员业务访问提供VPN安全通道;web应用防火墙为云平台系统web作出防护;终端服务器上部署终端安全软件,加强计算环境安全能力;部署堡垒机与数据库审计系统,为运维人员管理及数据库操作提供安全审计能力(如图1)。
2.1 防火墙
防火墙作为不同网络或网络安全域之问信息的唯一出入口,可根据严格的ACL策略和连接状态检测进行通信合法性保护,且能实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制,可限制网络最大流量数及网络连接数,并且其本身具备较强的抗攻击能力。通过在数据中心网络边界及数据中心内部的安全资源区部署防火墙,以监测控制不同网络之间的流量,保证内部网络的安全。防火墙均采取双机部署方式,通过HA模式避免单点故障,满足高可用的要求。
2.2 入侵防御系统
入侵防御系统与防火墙互补,构建七层防御体系。通过设置检测与阻断策略对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),识别事件的侵入、关联、冲击和方向,发现隐藏的网络攻击,根据该攻击的威胁级别立即采取积极抵御措施(包括向管理中心告警、丢弃该报文、切断此次应用会话、切断此次TCP连接),同时向管理员通报攻击信息,提供对网络系统内部IT资源的安全保护。入侵防御可以监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为。 2.3 VPN
VPN远程登录是远程办公环境下通用的网关设备。通过在网络出入口设备上挂接VPN,为远程办公提供可靠的通信通道。移動办公用户终端只需标准的Web浏览器,无需安装客户端软件,即可实现对内网资源的安全访问。两个固定网络间通信时,能够在两个网络间建立IPSec安全隧道,实现总部与分部网络安全稳定互连。
2.4 堡垒机
数据中心存储着各种重要信息,由于系统数据分散、运维人员众多,特别是很多系统的维护还需要借助厂家工程师、系统建设集成商等多种角色的技术人员参与系统管理与支持。因此,加强云计算中心数据安全,监管运维人员操作行为势在必行。运维审计引擎逻辑上位于各设备与主机的前面,所有维护人员要访问分散部署的设备与主机,通过网络限制(防火墙策略或交换机访问控制列表)必须先登录到运维审计系统,由运维审计系统根据用户的访问权限,提供设备列表,用户选择要操作的设备;运维审计系统根据用户在该设备上的权限,替用户填写设备账号和密码,完成后续的登陆过程;用户可直接使用该网元设备,像往常一样进行操作与维护,这样的机制也减轻了维护人员记录大量系统账号与密码的工作量,单点登录,全网通行。
2.5 数据库审计
通过数据库操作审计,可实现对用户登录云平台上的业务应用,所有的SQL查询动作与访问者的用户名信息的关联审计,实现“访问时间、访问源、查询动作”在事后可追溯。数据库审计系统部署在服务器区交换机上,通过设置端口镜像,将内网数据库的流量复制到“数据库审计系统”,实现内部数据库的操作审计。
2.6 Web应用防火墙
WEB安全防护专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。Web应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。在数据中心核心交换机部署Web应用防火墙,通过核心交换机将Web服务器的流量策略到Web应用防火墙上进行分析处理,保护Web服务器,解决Web服务器面临的注入攻击、跨站脚本攻击、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等各类安全问题。
2.7 终端软件
通常部署在应用层之上,用于主机、终端层安全防护。
3 结语
云计算环境下数据中心的安全保障系统涉及物理安全、网络安全、系统安全、应用安全、数据安全到安全管理、安全组织、安全运维等方面。其中,网络安全系统是一个长期系统化的工程,各要素之间存在相互联系、互相依赖。随数据中心业务不断的加载,网络安全工作需要不断检查、改进和优化保障措施。本文仅研究云计算环境下数据中心主要存在的网络安全风险,系统提出了多种网络安全保障措施,为云计算时代数据中心的网络安全防护能力建设提供了可以借鉴的思路。
参考文献
[1] 谢盈.云计算数据中心安全防护技术研究[J].西南民族大学学报(自然科学版),2018,11:616-620.
[2] 蒲在毅,罗宇.云计算数据中心安全问题及防护策略简析[J].电子世界,2018,12(48):90-92.
[3] 贾艳梅.云计算环境下数据中心的网络安全问题分析及防护[J].信息与电脑,2018(21):194-195.
[4] 冒海波.云环境下数据安全防护体系的研究与应用[D].江苏科技大学,2017.
转载注明来源:https://www.xzbu.com/8/view-15115514.htm
